浙公信安[2001]122号
http://www.100md.com
浙江医药网
关于做好计算机病毒防治工作的紧急通知
省级各有关单位计算机安全领导小组:
近期,一种名为“红色代码”(Code Red)系列病毒和名为Sircam网络蠕虫病毒在我省蔓延,已有多家单位的计算机系统遭到不同程度的破坏。该二种病毒具有很大的危害性,“红色代码”病毒能使Windows NT Windows2000系列操作系统遭受感染,造成网络阻塞,该病毒变种在感染系统后会放出黑客程序,对网站进行拒绝式服务攻击(DDoS),遭到攻击的网站会死机,使其无法提供在线服务,导致网络瘫痪;Sricam病毒会自动删除系统文件或在系统的回收站中反复写入文件,直到硬盘无剩余空间,特别是还会将用户电脑中的文件用电子邮件自动向外发送,可能造成无法弥补的泄密事件。
鉴于目前计算机病毒种类繁多、传播快、破坏性强等特点,为保障我省重点领域计算机信息系统的安全,根据《计算机病毒防治管理办法》要求,现将有关要求通知如下:
, 百拇医药
1、各单位领导应高度重视计算机病毒防治工作,要建立健全计算机病毒防治管理制度,落实计算机病毒防治措施。
2、对本单位计算机信息系统进行一次计算机病毒大检查,全面清除种类计算机病毒,同时打好系统补丁,升级杀毒软件,做好防范工作,并将本次计算机病毒检查情况报告我处。今后凡发现病毒疫情须及时报告。
3、严禁连接局域网的计算机上互联网。对下载的程序、数据或者购置、维修、借入的计算机设备等,应当进行计算机病毒检测。
4、确定一名责任性强的技术人员为病毒防治专管员,负责本单位的病毒防治工作,并将名单、联系电话及通信地址于9月1日前报我处。联系人:郑小林、项振茂,电话:87821349,传真:87821367
附:“红色代码”病毒与Sircam网络蠕虫病毒特征及防治办法
, 百拇医药
二00一年八月八日
附:
“红色代码”病毒与Sircam网络蠕虫病毒特征及防治办法
“红色代码”病毒,利用缓冲器溢出这一安全漏洞进行感染的蠕虫。只针对安装微软IIS网页服务器的操作系统进行感染(包括:Windows NT Server、Windows2000 Server),对网站进行拒绝式服务攻击(DDoS),遭到攻击的网站会死机,使其无法提供在线服务。
防范措施
1、用最新版的杀病毒软件检测,若报内存中有CodeRed病毒,则你的系统已受到CodeRed的攻击。
2、到微软处下载安装补丁
Windows2000 Professional,Server and Advanced Server需要loads/servicepacks/default.asp
, http://www.100md.com
然后到以下链接,下载补丁修补漏洞。
http://www.microsoft.com/Downloads/Release.asp? ReleaseID=30800
Windows NT version 4.0需要升级到SP6
--http://www.microsoft.com/ntserver/default.asp
接着到以下链接,下载补丁漏洞。
http://www.microsoft.com/Downloads/Release.asp? ReleaseID=30833
3、升级补丁后,重起计算机,系统将不会再受到CodeRed的攻击,用瑞星2001版(12.36)Kill26.50以上版等杀病毒软件检测硬盘,清除CodeRed附带的木马程序,彻底封杀CodeRed系列病毒。
, http://www.100md.com
4、CodeRed利用IIS(Internet信息服务)将Scripts、MSADC、C盘和D盘的属性改为可读写。
需手工恢复原有属性,操作如下:
打开“控制面板”,找到“管理工具”,运行Internet信息服务“,在其”默认的Web站点“选项中将C、D、Scripts和MSADC的属性改为原有属性。
有关该病毒的详细处理办法:查看http://www.digitalisland.net/codered/
网络蠕虫病毒Sircam,别名:W32.Sircam,W32/Sircam,I-Worm.Sircam,I-Wom/Sircam,W32/SirCam@mm
该病毒通过邮件系统传播,病毒体附带一个随机的文件作为附件,附件的名称带有双扩展名,邮件的主体和附件名称都是不定的。该病毒同时也通过网络共享进行传播。
, http://www.100md.com
带有病毒的邮件可能是英文或西班牙文的,邮件的格式如下:
主题:[无扩展名的文件名(随机)]
附件:[与主体相同,但多了双扩展名]
主体:(英文)
Hi!How are you ?
I send you tjos file order to have your advice or I hope you can help me with this file that I send or I hope you like the file that I sendo you or This is the with the information that you ask for See you later. Thanks
, 百拇医药
主体:(西班牙文)
Hola como estas?
Te mando este archivo para que me des tu punto de vista or Espero me puedas ayudar con el archivo que te mando or Espero te guste este archivo que te mando or Este es el archivo con la imformaci que me pediste Nos vemos pronto, gracias.
一旦打开邮件的附件,该文档会被拷贝到C:\RECYCLED目录下,接着病毒会复制自身到C:\ RECYCLED下,名为SirC32.exe ,并创建以下键值: HKEY_CLASSES_ROOT\exefile\shell\open\command\Default="C:\recycled\SirC32.exe“%1”名
, 百拇医药
该键值使得所有exe文件运行时都加载该病毒。
病毒还将自身复制到Windows System目录下,名为Scam32.exe,并修改注册表: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe
使得每次系统启动后,自动执行该蛀虫的主体部分。
注册表修改成功后,病毒利用自己特殊的SMTP给WINDOWS地址簿中的用户和INTERNET缓存中能找到的所有邮箱地址发送带有病毒附件的邮件。
病毒从“我的文档”中,选择一个DOC、XLS或ZIP文件,将被选中的文件附在病毒文件后,再加上第二个扩展名(PIF、LNK、BAT、EXE、COM中的一个),并保存到“回收站”文件夹中,该文件将被病毒用来向选中的EMALL地址发送。
, http://www.100md.com
病毒还创建以下键值:HKEY_LOCAL_MACHINE\Software\Sircam,用于存放相关的一些信息,如蠕虫被执行的次数,发送者的邮件地址,SMTP信息。
该病毒也通过网络共享感染其它系统,一旦发现可读写的网络邻居,就会将该系统Windows目录下的rundll32.exe用病毒的拷贝来替代,文件被改名为run32.exe之后,批处理文件也被改动,增加了:
@win\recycled\sirc32.exe,以便每次系统启动时,蠕虫被运行。
除了通过邮件系统传播,该病毒会在10月16日删除系统盘的文件,还会在系统的回收站中反复写入文件,直到硬盘所无剩余空间。
目前,最新版的杀病毒软件都能解决。, 百拇医药
省级各有关单位计算机安全领导小组:
近期,一种名为“红色代码”(Code Red)系列病毒和名为Sircam网络蠕虫病毒在我省蔓延,已有多家单位的计算机系统遭到不同程度的破坏。该二种病毒具有很大的危害性,“红色代码”病毒能使Windows NT Windows2000系列操作系统遭受感染,造成网络阻塞,该病毒变种在感染系统后会放出黑客程序,对网站进行拒绝式服务攻击(DDoS),遭到攻击的网站会死机,使其无法提供在线服务,导致网络瘫痪;Sricam病毒会自动删除系统文件或在系统的回收站中反复写入文件,直到硬盘无剩余空间,特别是还会将用户电脑中的文件用电子邮件自动向外发送,可能造成无法弥补的泄密事件。
鉴于目前计算机病毒种类繁多、传播快、破坏性强等特点,为保障我省重点领域计算机信息系统的安全,根据《计算机病毒防治管理办法》要求,现将有关要求通知如下:
, 百拇医药
1、各单位领导应高度重视计算机病毒防治工作,要建立健全计算机病毒防治管理制度,落实计算机病毒防治措施。
2、对本单位计算机信息系统进行一次计算机病毒大检查,全面清除种类计算机病毒,同时打好系统补丁,升级杀毒软件,做好防范工作,并将本次计算机病毒检查情况报告我处。今后凡发现病毒疫情须及时报告。
3、严禁连接局域网的计算机上互联网。对下载的程序、数据或者购置、维修、借入的计算机设备等,应当进行计算机病毒检测。
4、确定一名责任性强的技术人员为病毒防治专管员,负责本单位的病毒防治工作,并将名单、联系电话及通信地址于9月1日前报我处。联系人:郑小林、项振茂,电话:87821349,传真:87821367
附:“红色代码”病毒与Sircam网络蠕虫病毒特征及防治办法
, 百拇医药
二00一年八月八日
附:
“红色代码”病毒与Sircam网络蠕虫病毒特征及防治办法
“红色代码”病毒,利用缓冲器溢出这一安全漏洞进行感染的蠕虫。只针对安装微软IIS网页服务器的操作系统进行感染(包括:Windows NT Server、Windows2000 Server),对网站进行拒绝式服务攻击(DDoS),遭到攻击的网站会死机,使其无法提供在线服务。
防范措施
1、用最新版的杀病毒软件检测,若报内存中有CodeRed病毒,则你的系统已受到CodeRed的攻击。
2、到微软处下载安装补丁
Windows2000 Professional,Server and Advanced Server需要loads/servicepacks/default.asp
, http://www.100md.com
然后到以下链接,下载补丁修补漏洞。
http://www.microsoft.com/Downloads/Release.asp? ReleaseID=30800
Windows NT version 4.0需要升级到SP6
--http://www.microsoft.com/ntserver/default.asp
接着到以下链接,下载补丁漏洞。
http://www.microsoft.com/Downloads/Release.asp? ReleaseID=30833
3、升级补丁后,重起计算机,系统将不会再受到CodeRed的攻击,用瑞星2001版(12.36)Kill26.50以上版等杀病毒软件检测硬盘,清除CodeRed附带的木马程序,彻底封杀CodeRed系列病毒。
, http://www.100md.com
4、CodeRed利用IIS(Internet信息服务)将Scripts、MSADC、C盘和D盘的属性改为可读写。
需手工恢复原有属性,操作如下:
打开“控制面板”,找到“管理工具”,运行Internet信息服务“,在其”默认的Web站点“选项中将C、D、Scripts和MSADC的属性改为原有属性。
有关该病毒的详细处理办法:查看http://www.digitalisland.net/codered/
网络蠕虫病毒Sircam,别名:W32.Sircam,W32/Sircam,I-Worm.Sircam,I-Wom/Sircam,W32/SirCam@mm
该病毒通过邮件系统传播,病毒体附带一个随机的文件作为附件,附件的名称带有双扩展名,邮件的主体和附件名称都是不定的。该病毒同时也通过网络共享进行传播。
, http://www.100md.com
带有病毒的邮件可能是英文或西班牙文的,邮件的格式如下:
主题:[无扩展名的文件名(随机)]
附件:[与主体相同,但多了双扩展名]
主体:(英文)
Hi!How are you ?
I send you tjos file order to have your advice or I hope you can help me with this file that I send or I hope you like the file that I sendo you or This is the with the information that you ask for See you later. Thanks
, 百拇医药
主体:(西班牙文)
Hola como estas?
Te mando este archivo para que me des tu punto de vista or Espero me puedas ayudar con el archivo que te mando or Espero te guste este archivo que te mando or Este es el archivo con la imformaci que me pediste Nos vemos pronto, gracias.
一旦打开邮件的附件,该文档会被拷贝到C:\RECYCLED目录下,接着病毒会复制自身到C:\ RECYCLED下,名为SirC32.exe ,并创建以下键值: HKEY_CLASSES_ROOT\exefile\shell\open\command\Default="C:\recycled\SirC32.exe“%1”名
, 百拇医药
该键值使得所有exe文件运行时都加载该病毒。
病毒还将自身复制到Windows System目录下,名为Scam32.exe,并修改注册表: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe
使得每次系统启动后,自动执行该蛀虫的主体部分。
注册表修改成功后,病毒利用自己特殊的SMTP给WINDOWS地址簿中的用户和INTERNET缓存中能找到的所有邮箱地址发送带有病毒附件的邮件。
病毒从“我的文档”中,选择一个DOC、XLS或ZIP文件,将被选中的文件附在病毒文件后,再加上第二个扩展名(PIF、LNK、BAT、EXE、COM中的一个),并保存到“回收站”文件夹中,该文件将被病毒用来向选中的EMALL地址发送。
, http://www.100md.com
病毒还创建以下键值:HKEY_LOCAL_MACHINE\Software\Sircam,用于存放相关的一些信息,如蠕虫被执行的次数,发送者的邮件地址,SMTP信息。
该病毒也通过网络共享感染其它系统,一旦发现可读写的网络邻居,就会将该系统Windows目录下的rundll32.exe用病毒的拷贝来替代,文件被改名为run32.exe之后,批处理文件也被改动,增加了:
@win\recycled\sirc32.exe,以便每次系统启动时,蠕虫被运行。
除了通过邮件系统传播,该病毒会在10月16日删除系统盘的文件,还会在系统的回收站中反复写入文件,直到硬盘所无剩余空间。
目前,最新版的杀病毒软件都能解决。, 百拇医药